Cómo recopilar registros de eventos de auditoría de Windows Information Protection (WIP)

  • Artículo
  • Tiempo de lectura: 7 minutos

Se aplica a:

  • Windows 10, versión 1607 y versiones posteriores
  • Windows 10 Mobile, versión 1607 y versiones posteriores

Windows Information Protection (WIP) crea eventos de auditoría en las siguientes situaciones:

  • Si un empleado cambia la propiedad de un archivo de Trabajo a Personal.

  • Si los datos se marcan como Trabajo, pero se comparten para una página web o aplicación personal. Por ejemplo, mediante copiar y pegar, arrastrar y colocar, compartir un contacto, cargar en una página web personal, o si el usuario concede a una aplicación personal acceso temporal a un archivo de trabajo.

  • Si una aplicación tiene eventos de auditoría personalizados.

Recopilar registros de auditoría WIP mediante el proveedor de servicios de configuración (CSP) de informes

Recopila los registros de auditoría WIP de los dispositivos de tus empleados siguiendo las instrucciones proporcionadas por la documentación Proveedor de servicios de configuración (CSP) de informes. Este tema proporciona información sobre los eventos de auditoría reales.

Nota

El elemento Datos de la respuesta incluye los registros de auditoría solicitados en un formato XML con codificación.

Atributos y elementos de usuario

En esta tabla se incluyen todos los atributos disponibles para el elemento Usuario.

Atributo Tipo de valor Descripción
UserID Cadena El identificador de seguridad (SID) del usuario correspondiente a este informe de auditoría.
EnterpriseID Cadena El identificador de la empresa correspondiente a este informe de auditoría.

Atributos y elementos de registro

En esta tabla se incluyen todos los atributos y elementos disponibles para el elemento Registro. La respuesta puede contener cero (0) o más elementos de Registro.

Atributo o elemento Tipo de valor Descripción
ProviderType Cadena Esto siempre es EDPAudit.
LogType Cadena Incluye:
  • DataCopied. Los datos de trabajo se copian o comparten en una ubicación personal.
  • ProtectionRemoved. La protección de WIP se quita de un archivo definido como Trabajo.
  • ApplicationGenerated. Registro de auditoría personalizada proporcionado por una aplicación.
TimeStamp Entero Usa la estructura FILETIME para representar la hora en que se produjo el evento.
Directiva Cadena Cómo se compartieron los datos de trabajo con la ubicación personal:
  • CopyPaste. Los datos de trabajo se pegaron en una aplicación o ubicación personal.
  • ProtectionRemoved. Los datos de trabajo se cambiaron a desprotegidos.
  • DragDrop. Los datos de trabajo se colocaron en una aplicación o ubicación personal.
  • Share. Los datos de trabajo se compartieron con una aplicación o ubicación personal.
  • NULL. Cualquier otra forma en que los datos de trabajo se pudieran volver personales más allá de las opciones anteriores. Por ejemplo, cuando se abre un archivo de trabajo mediante una aplicación personal (también conocido como acceso temporal).
Justification Cadena Sin implementar. Estará siempre en blanco o será NULL.

Nota
Reservado para uso futuro para recopilar la justificación del usuario del cambio de Trabajo a Personal.
Objeto Cadena Descripción de los datos de trabajo compartidos. Por ejemplo, si un empleado abre un archivo de trabajo mediante una aplicación personal, esta sería la ruta de acceso del archivo.
DataInfo Cadena Información adicional acerca de cómo cambió el archivo de trabajo:
  • Ruta de acceso del archivo. Si un empleado carga un archivo de trabajo en un sitio web personal mediante Microsoft Edge o Internet Explorer, aquí se incluye la ruta del archivo.
  • Tipos de datos del Portapapeles. Si un empleado pega los datos de trabajo en una aplicación personal, aquí se incluyen la lista de los tipos de datos del Portapapeles proporcionada por la aplicación de trabajo. Para obtener más información, consulta la sección Ejemplo de este tema.
Acción Entero Proporciona información acerca de lo qué ha ocurrido cuando los datos de trabajo se compartieron en personal, incluido:
  • 1. Descifrado de archivo.
  • 2. Copia en la ubicación.
  • 3. Envío al destinatario.
  • 4. Otros.
FilePath Cadena La ruta al archivo especificado en el evento de auditoría. Por ejemplo, la ubicación de un archivo que se ha descifrado por un empleado o se ha cargado en un sitio web personal.
SourceApplicationName Cadena El sitio web o la aplicación de origen. Para la aplicación de origen, esta es la identidad de AppLocker. Para el sitio web de origen, este es el nombre de host.
SourceName Cadena Cadena proporcionada por la aplicación que está registrando el evento. Está pensado para describir el origen de los datos de trabajo.
DestinationEnterpriseID Cadena El valor de identificador de empresa para la aplicación o el sitio web donde el empleado está compartiendo los datos.

NULL, Personal, o en blanco significa que no hay ningún identificador de empresa porque los datos de trabajo se compartieron en una ubicación personal. Dado que no admitimos actualmente varias inscripciones, siempre verás uno de estos valores.
DestinationApplicationName Cadena El sitio web o la aplicación de destino. Para la aplicación de destino, esta es la identidad de AppLocker. Para el sitio web de destino, este es el nombre de host.
DestinationName Cadena Cadena proporcionada por la aplicación que está registrando el evento. Está pensado para describir el destino de los datos de trabajo.
Aplicación Cadena La identidad de AppLocker para la aplicación en la que se produjo el evento de auditoría.

Ejemplos

Estos son algunos ejemplos de respuestas de Reporting CSP.

La propiedad de un archivo cambia de trabajo a personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527">
      <Policy>Protection removed</Policy>
      <Justification>NULL</Justification>
      <FilePath>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</FilePath>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se carga un archivo de trabajo en una página web personal en Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>NULL</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName>mail.contoso.com</DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Se abre un archivo de trabajo con una aplicación personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469">
      <Policy>NULL</Policy>
      <Justification></Justification>
      <Object>C:\Users\TestUser\Desktop\tmp\demo\Work document.docx</Object>
      <Action>1</Action>
      <SourceName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</SourceName>
      <DestinationEnterpriseID>Personal</DestinationEnterpriseID>
      <DestinationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</DestinationName>
      <Application>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2</Application>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Los datos de trabajo se pegan en una página web personal

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data><?xml version="1.0" encoding="utf-8"?>
<Reporting Version="com.contoso/2.0/MDM/Reporting">
  <User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com">
    <Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270">
      <Policy>CopyPaste</Policy>
      <Justification>NULL</Justification>
      <SourceApplicationName>O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000</SourceApplicationName>
      <DestinationEnterpriseID>NULL</DestinationEnterpriseID>
      <DestinationApplicationName></DestinationApplicationName>
      <DataInfo>EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink</DataInfo>
    </Log>
  </User>
</Reporting></Data></Item></Results><Final/></SyncBody></SyncML>

Recopilar registros de auditoría WIP mediante el Reenvío de eventos de Windows (solo para dispositivos unidos a dominio del escritorio de Windows)

Usa el Reenvío de eventos de Windows para recopilar y agrupar los eventos de auditoría de WIP. Puedes ver los eventos de auditoría en el Visor de eventos.

Ver los eventos de WIP en el Visor de eventos.

  1. Abre el Visor de eventos.

  2. En el árbol de consola, en Registros de aplicaciones y servicios\Microsoft\Windows, haz clic en EDP-Audit-Regular y EDP-Audit-TCB.

Recopilar registros de auditoría de WIP con Azure Monitor

Puede recopilar registros de auditoría con Azure Monitor. Consulte Windows de datos del registro de eventos en Azure Monitor.

Para ver los eventos de WIP en Azure Monitor

  1. Use un espacio de trabajo existente o cree un nuevo área de trabajo de Log Analytics.

  2. En Log AnalyticsAdvanced > Configuración, seleccione Data. En Windows de eventos, agregue registros para recibir:

    Microsoft-Windows-EDP-Application-Learning/Admin
Microsoft-Windows-EDP-Audit-TCB/Admin

    Nota

    Si usa Windows Registros de eventos, los nombres del registro de eventos se pueden encontrar en Propiedades del evento en la carpeta Eventos (Registros de aplicaciones y servicios\Microsoft\Windows, haga clic en EDP-Audit-Regular y EDP-Audit-TCB).

  3. Descargar Microsoft Monitoring Agent.

  4. Para obtener la instalación de MSI para Intune, tal como se indica en el artículo de Azure Monitor, extraiga: MMASetup-.exe /c /t:

    Instala Microsoft Monitoring Agent dispositivos WIP con id. de área de trabajo y clave principal. Encontrará más información sobre id. de área de trabajo y clave principal en Log Analytics > Advanced Configuración.

  5. Para implementar MSI a través de Intune, en los parámetros de instalación agregue: /q /norestart NOAPM=1 ADD_OPINSIGHTS_WORKSPACE=1 OPINSIGHTS_WORKSPACE_AZURE_CLOUD_TYPE=0 OPINSIGHTS_WORKSPACE_ID=<WORKSPACE_ID> OPINSIGHTS_WORKSPACE_KEY=<WORKSPACE_KEY> AcceptEndUserLicenseAgreement=1

    Nota

    Reemplace <WORKSPACE_ID> & <WORKSPACE_KEY> recibido desde el paso 5. En los parámetros de instalación, no coloques <WORKSPACE_ID> & <WORKSPACE_KEY> entre comillas ("" o '').

  6. Una vez implementado el agente, los datos se recibirán en aproximadamente 10 minutos.

  7. Para buscar registros, vaya a Log Analytics workspace > Logsy escriba Event in search.

    Por ejemplo:

    Event | where EventLog == "Microsoft-Windows-EDP-Audit-TCB/Admin"

Recursos adicionales